Vanuit Cyberveilig Nederland heeft strategisch adviseur, Liesbeth Holterman, input gegeven aan AG Connect over het nieuwe kabinet. Zij geeft in het artikel onder andere aan dat de aandacht moet naar het op orde brengen van de basis en dat het toezicht op de naleving van security-wetgevingen verstevigd moet worden.
Security heeft een eigen Deltacommissaris nodig
De Nederlandse politiek moet aandacht houden voor cybersecurity en het land weerbaarder maken. Daar zijn de meeste organisaties in de techbranche het wel over eens, blijkt uit manifesten die zij in aanloop naar de Tweede Kamerverkiezingen publiceerden. Maar waar moet dan concreet aandacht naartoe?
Welke techonderwerpen vergen nu écht aandacht van de politiek? Wat zou meegenomen moeten worden in een toekomstig coalitieakkoord? CIO Platform, NLdigital en partijen als Cyberveilig Nederland, de Dutch Cloud Community, de Dutch Data Center Association, de Fiber Carrier Association en Stichting DINL hebben daar wel een mening over, die zij ieder deelden in een eigen manifest. Security wordt daarin ook aangehaald. Logisch, want als dat niet goed geregeld is, heeft dat direct impact op veel Nederlandse bedrijven en organisaties, en op het functioneren van onze economie en samenleving.
Maar echt diepgaand, dat zijn de manifesten niet op dit punt. En dat is ook niet per se nodig. “Zolang we nog niet met zo’n allen overtuigd zijn van wat de benodigde basis is, hoe we die gaan implementeren en waarom dat belangrijk is, kun je wel met mooie lange termijn- en hoog over-visies komen, maar dan blijven we de facto nog net zo onveilig als dat we waren”, zegt Liesbeth Holterman stellig. Zij is strategisch adviseur bij branchevereniging Cyberveilig Nederland. Ingewikkelde plannen zijn wat haar betreft dus overbodig. “We hebben op het gebied van cybersecurity gewoon nog heel veel achterstallig onderhoud te doen. We missen de basis nog.”
Daar komt bij dat in principe iedereen deels verantwoordelijk is voor security, maar slechts weinigen zich daadwerkelijk verantwoordelijk voelen, ziet professor Bibi van den Berg. Van den Berg is onder meer hoogleraar cybersecurity governance aan de Universiteit van Leiden en lid van de Cyber Security Raad, die het kabinet adviseert over security in Nederland. “Dat is echt wel een punt van zorg. Alleen al op het niveau van de Rijksoverheid zie je nu al dat het beleid over cybersecurity belegd is bij talloze verschillende ministeries. De één doet innovatie en de economische kant, de ander de nationale veiligheidskant, de derde doet defensie, enzovoorts. Maar er is weinig regie, er is weinig overleg. Niemand is er eindbaas van. Partijen praten wel een beetje met elkaar, maar ook veel langs elkaar heen.”
Dat terwijl security eigenlijk nog naar een veel hoger niveau moet, wat Van den Berg betreft. “Het moet eigenlijk vergelijkbaar worden met het drinkwater. We zorgen ervoor dat er altijd veilig drinkwater uit de kraan komt, zonder dat je daar als consument over na hoeft te denken. Daar is wet- en regelgeving voor nodig, dat moet je op systeemniveau afdwingen. Voor digitale veiligheid zou je eigenlijk iets vergelijkbaars moeten doen. Dus op systeemniveau kijken: welke interventies zijn nu nodig? Wat moeten bedrijven zelf doen? En dat kun je natuurlijk deels sturen met wet- en regelgeving, door te zeggen: aan deze standaarden moet je voldoen.”
De Cybersecuritystrategie
Dat betekent niet dat er alleen maar nieuw beleid moet komen, vindt Holterman. “Als we het hebben over meer geld investeren, dan gaat er vaak alleen maar heel veel geld naar nieuw beleid. Wat daarbij wordt vergeten is dat er ook nog mensen zijn die dit moeten uitvoeren. Dat er toezicht op gehouden moet worden. Dus voor we met zijn allen gaan roepen dat er meer geld moet komen, moeten we met name kijken waaraan we dat dan gaan besteden.”
Wat haar betreft ligt de focus nu als eerste op de punten uit de Nederlandse Cybersecuritystrategie, waarin prioriteiten op securitygebied voor 2022 tot 2028 uiteen worden gezet. “Dat is het meest logische. Dat zijn de zaken waarvan we met zijn allen hebben bedacht dat het de belangrijkste focuspunten zijn.”
Die punten kunnen onderverdeeld worden in vier hoofdthema’s. Allereerst is er weerbaarheid, waar allerlei wet- en regelgeving voor bedrijven, burgers en overheden onder valt. “Hopelijk wordt onze weerbaarheid versneld vergroot met de aankomende wet- en regelgeving. Enerzijds omdat we zelf meer maatregelen gaan nemen, anderzijds omdat we hopelijk met veiligere producten gaan werken”, aldus Holterman. Daarnaast is er in de strategie aandacht voor de aanpak van cybercriminaliteit en een Leven Lang Leren. “We moeten natuurlijk wel de kennis in huis hebben om met security aan de gang te gaan. Dat begint al bij het primair onderwijs.”
Tot slot ligt er een focus op innovatie, veelal om te zorgen dat er meer Europese securityproducten komen. Veel komt nu namelijk uit de VS, wat betekent dat je heel afhankelijk bent van buitenlandse technologie.
Deltacommissaris
Een groot probleem met al deze plannen is echter dat veel afhankelijk is van het kabinet, dat eens in de vier jaar – of nog vaker, zoals nu het geval is – van samenstelling kan veranderen. Veel beleid wordt dus voor maximaal vier jaar bedacht, terwijl er juist voor security een langere adem nodig is. Van den Berg pleit daarom al enige jaren voor een soort Deltacommissaris voor IT en security. “Iemand met aanzien en statuur, die er een tijdje zit, diepe zakken heeft en gewoon een mandaat krijgt, zodat diegene tegen de verschillende ministeries kan zeggen: nu kom je even aan tafel zitten en maken we net als bij de Deltawerken een plan voor de komende 20 of 25 jaar”, legt ze uit. “Dat plan zullen we ongetwijfeld elke keer moeten bijstellen, maar laten we nou gewoon eens even een aantal basisideeën vastpinnen en zeggen: hier gaan we aan werken, dit wordt de investering.”
Bijsturen is met zo’n Deltacommissaris juist ook mogelijk, in tegenstelling tot de huidige situatie, constateert de hoogleraar. “Na vier jaar komen er nieuwe kabinetsonderhandelingen, waarin elke eurocent tot achter de komma wordt verdeeld en dan zit alles weer vier jaar op slot. In de tussentijd kun je dus nergens meer bijsturen.”
Slimmer samenwerken
Holterman ziet daarnaast nog kansen op het gebied van samenwerking, zowel in het bedrijfsleven als tussen private en publieke organisaties. Dat hoeft helemaal niet veel geld te kosten, terwijl het wel de weerbaarheid van Nederland bevordert. Een goed voorbeeld van de voordelen daarvan is Melissa, een nieuw samenwerkingsverband waarin het OM, de politie, het NCSC, Cyberveilig Nederland en diverse private securitypartijen informatie uitwisselen over ransomware.
Maar er kan ook slimmer nagedacht worden over het tijdelijk inzetten van expertise. Het kan bijvoorbeeld handig zijn als een expert van een private partij tijdelijk hulp verleend bij de AIVD of politie. Maar diegene moet dan wel eerst door een screeningproces heen. “Maar je kunt nu alleen gescreend worden als er een opdracht is, waardoor je niet snel kunt schakelen. Terwijl je van sommige mensen of organisaties eigenlijk al weet dat je daar vroeg of laat bij terechtkomt. Dus als we daadwerkelijk willen samenwerken met elkaar – en volgens mij willen we dat – dan moeten we ook slimmer gaan nadenken hoe we dat aan de voorkant moeten regelen.” Kortom: er is ook veel laaghangend fruit te plukken op het gebied van cybersecurity. Maar dan moet er ook wel de wil zijn om het te regelen met elkaar.
Toezicht is nog een probleem
Rondom security vallen allerlei beleid en regels op te stellen, maar uiteindelijk moet er ook toezicht gehouden worden op de naleving van die regels. Ook daar zit nog een flink probleem, vindt zowel Holterman als Van den Berg. “Zeker met de komst van de NIS2. Daar zijn we nog niet op ingericht”, aldus Van den Berg. Voor de NIS2 is volgens haar zelfs nog helemaal niet duidelijk wie dat toezicht precies in moet gaan vullen.
Bovendien is nog helemaal niet goed duidelijk op hoeveel bedrijven straks toezicht gehouden moet worden, al wordt er wel hard gewerkt vanuit de Rijksoverheid om dat in te vullen. Holterman vreest dan ook een herhaling van de gang van zaken rond de AVG. “Die werd ingevoerd, maar vervolgens hebben we een toezichthouder [de Autoriteit Persoonsgegevens, red.] die eigenlijk niet de mensen en de middelen heeft om dat werk goed uit te voeren”, verklaart ze. “Dus zorg dat je daadwerkelijk toezicht kúnt houden wanneer wet- en regelgeving wordt geïmplementeerd.”
Europa
Zeker op het gebied van cybersecurity gebeurt ook veel op Europees niveau, bijvoorbeeld in de vorm van (aankomende) wetgevingen als de NIS2 en de Cyber Resilience Act (CRA). In hoeverre kan Nederland daar nog wat aan toevoegen?
Wat professor Bibi van den Berg betreft best veel. “Nederland heeft samen met Estland al een heel aantal jaren een soort gidsfunctie in de wereld. Uit allerlei discussies over bijvoorbeeld normen voor het gedrag van statelijke actoren in cyberspace zijn standaarden ontstaan, die komen uit Estland en Nederland. Of we hebben daar in ieder geval een belangrijke voortrekkersrol in gehad.”
Van den Berg pleit er dan ook voor om niet altijd op Europese wetgeving te wachten, maar zelf ook initiatief te nemen. “Je kunt de gidsrol pakken en alvast op nationaal niveau een aantal dingen beginnen op te lossen, of in ieder geval initiëren, die daarna naar een Europese wet vertaald kunnen worden.”
Het artikel lees je hier
Melissa
Het samenwerkingsverband Melissa ontstond zo’n anderhalf jaar geleden, toen de verschillende partijen samen kwamen in een Van der Valk-hotel en één van de partijen een geluidsopname van een onderhandeling met een ransomware-partij, deelde met de rest. “Toen ze die stem hoorden, zei een aantal andere private organisaties: hé, dat is Melissa!”, aldus Holterman. Deze ‘Melissa’ blijkt een woordvoerder van verschillende ransomware-partijen te zijn, die bij verschillende onderhandelingstrajecten is ingezet. “Dat kan voor de politie heel interessant en relevant zijn. Als het lukt om haar op te pakken, dan heb je direct heel veel relevante informatie over de modus operandi van verschillende ransomware-groeperingen.” Onderling informatie uitwisselen kan dus enorm waardevol zijn en daar kan dus nog veel meer winst uit gehaald worden.
